Din sikkerhet er ikke sterkere enn det svakeste leddet
Flertallet av organisasjoner har titalls eller hundrevis av leverandører med en eller annen form for tilgang til systemer eller data. Hver slik forbindelse er en potensiell angrepsvei. NIS2 anerkjenner dette og stiller derfor eksplisitte krav til sikkerhet i leverandørkjeden.
Det handler ikke om å mistenke sine partnere — det handler om å systematisk håndtere en risiko som ellers lett overses.
Virkeligheten: Ifølge Ponemon Institute kommer 62% av cyberangrep via leverandørkjeden. Angripere vet at det ofte er lettere å ta seg inn via en mindre leverandør enn via målorganisasjonen direkte.
Hva krever NIS2?
NIS2 artikkel 21 — Leverandørsikkerhet:
Organisasjoner skal iverksette hensiktsmessige tiltak for å håndtere sikkerhetsrisiko i leverandørkjeden, inkludert:
- Sikkerhetsrelaterte aspekter av forholdet til leverandører
- Sikkerhetskvaliteten hos leverandørenes produkter og tjenester
- Cybersikkerhetsmetoder hos leverandører, inkludert deres utviklingsprosesser
- Sårbarhetshåndtering og rapportering
5-trinnsmodell for leverandørvurdering
- Inventar og kategoriser Start med å liste alle leverandører som har tilgang til systemer, data eller lokaler. Kategoriser dem etter kritikalitet: Kritisk (virksomhetspåvirkning ved bortfall), Høy (betydelig påvirkning), Medium, Lav. Fokuser på de kritiske og høye først.
- Definer krav per kategori Forskjellige leverandører krever forskjellige nivåer av sikkerhetskrav. En kritisk skyleverandør krever omfattende krav, mens en kontorleverandør krever mindre. Opprett kravnivåer som er proporsjonale med risikoen.
- Gjennomfør vurdering Bruk spørreskjemaer, be om dokumentasjon, og ved behov gjennomfør revisjoner. Fokuser på: sikkerhetspolicyer, hendelseshåndtering, tilgangskontroll, kryptering, backup og forretningskontinuitet.
- Oppdater avtaler Sikre at avtalene inneholder sikkerhetskrav, hendelsesrapportering (leverandøren må informere dere ved hendelser), rett til revisjon, krav til underleverandører, og ansvar ved sikkerhetsbrudd.
- Følg opp kontinuerlig Leverandørvurdering er ikke en engangsaktivitet. Etabler regelmessig oppfølging, overvåk leverandørenes sikkerhetsstatus og reager på endringer i risikobildet.
Hva skal vurderes?
Sikkerhetsevne
| Område | Spørsmål å stille |
|---|---|
| Policyer | Finnes dokumenterte sikkerhetspolicyer? Hvor ofte oppdateres de? |
| Sertifiseringer | Har leverandøren ISO 27001 eller lignende? Er sertifikatet gyldig? |
| Hendelseshåndtering | Hvor raskt kan de rapportere hendelser til dere? Har de testet sin plan? |
| Tilgangskontroll | Hvordan håndteres tilgang til deres systemer/data? Logges tilgang? |
| Kryptering | Krypteres data i transitt og hvile? Hvilke standarder brukes? |
| Backup | Hvordan sikkerhetskopiperes deres data? Testes gjenoppretting? |
| Underleverandører | Hvilke underleverandører brukes? Hvordan kontrolleres de? |
Røde flagg
En leverandør som ikke kan vise til grunnleggende sikkerhetsdokumentasjon har sannsynligvis ikke moden sikkerhetsstyring.
Hvis en leverandør kategorisk nekter å gi innsyn eller besvare spørsmål er det et advarselstegn. Legitime leverandører forstår behovet.
Hvis leverandøren ikke kan beskrive hvordan de ville informert dere ved en hendelse kan dere ikke oppfylle deres egne rapporteringskrav.
Hvis leverandøren bruker mange underleverandører uten kontroll forlenges risikokjeden ukontrollert.
Sjekkliste for leverandøravtaler
Sikkerhetskrav:
- Referanse til organisasjonens sikkerhetspolicy
- Spesifikke tekniske krav (kryptering, tilgangskontroll, etc.)
- Krav til personalopplæring
- Krav til sikkerhetshendelsesrapportering
Hendelseshåndtering:
- Plikt til å rapportere hendelser innen [X] timer
- Kontaktveier og eskaleringsprosess
- Plikt til å bistå ved utredning
- Ansvar for kostnader ved hendelse
Revisjon og innsyn:
- Rett til å gjennomføre sikkerhetsrevisjoner
- Tilgang til relevante logger og rapporter
- Plikt til å informere om endringer
- Krav om å tilgjengeliggjøre sertifikater og attester
Underleverandører:
- Krav om godkjenning av underleverandører
- Samme sikkerhetskrav skal gjelde nedover i kjeden
- Liste over godkjente underleverandører
Avslutning:
- Hvordan data returneres eller destrueres
- Tidsramme for overgang
- Fortsatt konfidensialitet etter avslutning
Spørsmål å stille til leverandører
Innledende screening
- Har dere en dokumentert informasjonssikkerhetspolicy?
- Har dere noen sikkerhetssertifisering (ISO 27001, SOC 2, etc.)?
- Hvordan håndterer dere sikkerhetshendelser?
- Hvordan beskytter dere data som dere håndterer for kunders regning?
- Hvilke underleverandører bruker dere?
Dypere vurdering (kritiske leverandører)
- Kan vi få kopier av relevante policyer og prosedyrer?
- Når ble siste penetrasjonstest gjennomført? Kan vi se rapporten?
- Hvordan håndterer dere sårbarhetspatchning? Hvilke SLA-er har dere?
- Hvordan logges og overvåkes tilgang til våre systemer/data?
- Hva er deres RTO og RPO for tjenester til oss?
- Har dere gjennomført hendelsesøvelser det siste året?
Vanlige utfordringer og løsninger
Løsning: Prioriter basert på kritikalitet og risiko. Start med de 10-20 viktigste. Bruk selvdeklarasjoner for lavere risikonivåer.
Løsning: Evaluer alternative leverandører. Hvis bytte ikke er mulig, implementer kompenserende kontroller og dokumenter risikoaksept.
Løsning: Automatiser der det er mulig. Bruk standard spørreskjemaer og verktøy for leverandørhåndtering.
Løsning: Krev innsyn i underleverandører og still krav om at samme standard gjelder nedover i kjeden.
Slik kan Securapilot hjelpe
Securapilots leverandørhåndteringsmodul effektiviserer hele prosessen:
- Leverandørregister — Sentralisert oversikt over alle leverandører
- Risikoklassifisering — Automatisk kategorisering basert på kritikalitet
- Spørreskjemaer — Standardiserte vurderingsskjemaer
- Sporbarhet — Full historikk over vurderinger og beslutninger
- Påminnelser — Automatiske påminnelser for oppfølging
- Rapporter — Eksporter status for ledelse og revisjon
Book en demo og se hvordan vi kan hjelpe dere ta kontroll over leverandørrisikoene.
Ofte stilte spørsmål
Hvilke leverandører må vi vurdere i henhold til NIS2?
Fokuser på leverandører som har tilgang til deres systemer, håndterer deres data, eller leverer tjenester som er kritiske for virksomheten. Det inkluderer IT-leverandører, skytjenester, driftspartnere og andre med privilegert tilgang.
Hva skal være i leverandøravtaler i henhold til NIS2?
Avtalene skal inneholde sikkerhetskrav tilpasset etter risikonivå, krav om hendelsesrapportering, rett til revisjon, krav om underleverandørkontroll, og tydelig ansvarsfordeling ved sikkerhetshendelser.
Hvor ofte skal leverandører vurderes?
Frekvensen avhenger av kritikalitet og risiko. Kritiske leverandører bør vurderes årlig, øvrige med lengre intervaller. Alle leverandører bør gjennomgå en innledende vurdering før avtale inngås.
Hva gjør vi hvis en leverandør ikke oppfyller kravene?
Start med dialog og tiltaksplan. Hvis leverandøren ikke kan eller vil forbedre seg, vurder å bytte leverandør eller implementere kompenserende kontroller. Dokumenter beslutningene og risikoaksept.
